Bumblebee olarak bilinen gelişmiş bir kötü amaçlı yazılım yükleyici yeniden ortaya çıktı ve dünya çapındaki kurumsal ağlar için önemli bir tehdit oluşturdu.
Netskope Tehdit Laboratuvarlarındaki siber güvenlik araştırmacıları, Bumblebee ile bağlantılı yeni bir enfeksiyon zincirini ortaya çıkardı. Bu, Mayıs 2024’te Europol öncülüğünde kötü amaçlı yazılım botnet’lerine yönelik büyük bir operasyon olan Endgame Operasyonu’ndan bu yana ilk kez ortaya çıkıyor.
İlk olarak Google’ın Tehdit Analiz Grubu tarafından Mart 2022’de tanımlanan Bumblebee, siber suçlular tarafından kurumsal ağlara sızmak ve Cobalt Strike işaretçileri ve fidye yazılımı gibi ek yükleri dağıtmak için kullanılan son derece gelişmiş bir indirici kötü amaçlı yazılımdır.
Kötü amaçlı yazılımın yeniden ortaya çıkması, siber tehdit ortamında potansiyel bir değişime işaret ediyor. Dört aylık bir aradan sonra, ağ araştırmacıları yakın zamanda ABD kuruluşlarını hedef alan yeni bir Bumblebee kampanyası tespit etti.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here
Bulaşma genellikle ZIP dosyası içeren bir kimlik avı e-postasıyla başlar.
Dosya, çıkarıldıktan sonra, çalıştırıldığında Bumblebee yükünü indirip belleğe yürütmek için bir olaylar zinciri başlatan ve DLL’yi diske yazmayarak algılamayı önleyen bir LNK dosyasını ortaya çıkarır.
Önceki kampanyalardan farklı olarak, yeni Bumblebee çeşidi, Nvidia ve Midjourney gibi yasal yazılım yükleyicileri gibi görünen MSI dosyalarını kullanıyor.
Bu yaklaşım, kötü amaçlı yazılımın son veriyi tamamen belleğe yüklemesine ve yürütmesine olanak tanıyarak gizlilik yeteneklerini artırır.
Kötü amaçlı yazılım, DllRegisterServer dışa aktarma işlevinin yürütülmesini zorlamak için SelfReg tablosunun kullanılması da dahil olmak üzere, tespit edilmekten kaçınmak için karmaşık teknikler kullanır. Bu yöntem, güvenlik uyarılarını tetikleyebilecek yeni işlemlerin oluşturulmasını önler.
Bumblebee’nin dönüşü, siber suç faaliyetlerinde geçici bir “kış durgunluğunun” ardından, 2024’ün başında birçok kötü şöhretli tehdit aktörünün yeniden ortaya çıkmasıyla aynı zamana denk geliyor.
Kötü amaçlı yazılımın birden fazla tehdit grubuyla ve Quantum, Conti ve MountLocker ile ilişkiler de dahil olmak üzere yüksek profilli fidye yazılımı operasyonlarıyla bağlantılı olduğu belirlendi.
Güvenlik uzmanları, fidye yazılımı geçmişi olan yetenekli tehdit aktörleri tarafından kullanıldığı göz önüne alındığında, Bumblebee’nin hafife alınmaması gerektiği konusunda uyarıyor.
Kötü amaçlı yazılımın gelişmiş kaçırma teknikleri ve fidye yazılımı grupları için ilk erişim aracılık etmedeki potansiyel rolü, onu kurumsal siber güvenlik açısından ciddi bir tehdit haline getiriyor.
Güvenlik Ekibiniz için mükemmel bir Yönetilen SIEM çözümü Nasıl Seçilir -> Ücretsiz Kılavuzu İndirin (PDF)